VPC のワークロード分離アーキテクチャーと依存関係について
IBM Cloud® Virtual Private Cloud の以下のサンプル・アーキテクチャーを参照し、さまざまな分離レベルについて詳しく理解してください。 アーキテクチャーと分離についての情報は、ワークロードの要件に最も適したソリューションを選択するときに役に立ちます。
VPC のワークロード分離アーキテクチャー
ワークロードおよびデータの分離という側面について理解するために、この図には VPC サービスの基本的なコンポーネントを示しています。 また、この図の後の表には、これらの分離の特性についての説明を記載しています。 現在、VPC サービスへのアクセスは、リージョン別のパブリック・エンドポイントを介して行われています。
ネットワーク・トラフィックの分離について詳しくは、VPC の裏側を参照してください。

コンポーネント | 説明 |
---|---|
制御ノード | 制御ノードでは、VPC コントロール・プレーンのサービスのほとんどが実行されます。 VPC コントロール・プレーンのデータ・ストアも、分散された一連の制御ノードでホストされます。 これらのノードでは、Linux オペレーティング・システムをカスタマイズして強化したバージョンが実行されます。 これらのノードがワークロードを実行することはありません。 |
ハイパーバイザー・ノード | ハイパーバイザー・ノードでは、お客様の仮想サービス・インスタンスが排他的に実行されます。 これらのノードでは、Linux オペレーティング・システムをカスタマイズして強化したバージョンが実行されます。 この表で説明しているように、これらのノードでは、コントロール・プレーンの少数のエージェント・サービスも実行されます。 |
ベアメタル・ノード | ベアメタル・ノードは、プロビジョン時にインストールされた VMware ESXi を使用して専用に提供されます。 ベアメタル・ノードには、VPC 上の VMware クラスターをサポートするための SmartNIC およびローカル・ストレージが装備されています。 ベアメタル・サーバーの API 要求は、リージョン内の各制御ノードにデプロイされたサービスに転送されます。 コントロール・プレーンのサービス間の通信は、常に、暗号化されたセキュアなネットワークを介して行われます。 |
VPC コントロール・プレーンのサービス | VPC の API 要求は、リージョン内の各制御ノードにデプロイされたサービスに転送されます。 必要に応じて、可用性とパフォーマンスのために、これらのサービスはリージョン内の複数のゾーンに複製されます。 これらのサービスは API 要求を処理するだけでなく、リージョンのハードウェアと処理能力をモニタリングし、VPC リソースの可用性と最適なパフォーマンスを維持するためにオーケストレーションを行います。 コントロール・プレーンのサービス間の通信は、常に、暗号化されたセキュアなネットワークを介して行われます。 お客様のインスタンスが制御ノード上で実行されることはないので、お客様のインスタンスはこれらのサービスから分離されています。 |
VPC コントロール・プレーンのエージェント・サービス | VPC コントロール・プレーンの少数のエージェントが、リージョン内の各ハイパーバイザー・ノードにデプロイされます。 例えば、ノードに新しい仮想サーバー・インスタンスを作成するときや、範囲がより広い VPC コントロール・プレーンのサービスで使用するためにノードからログ、メトリック、アラートを転送するときなどに、エージェントが使用されます。 コントロール・プレーンのサービス間の通信は、常に、暗号化されたセキュアなネットワークを介して行われます。 |
VPC コントロール・プレーンのデータ・ストア | VPC のリソースは、リージョン内のすべてのゾーンに複製されるデータ・ストアに保存されます。 このストアには、それらのリソースに関するメタデータのみが保管されます。お客様のデータが保管されることはありません。 例えば、このストアには、各 VPC イメージのリソースについての情報 (名前、CRN、作成日など) が保管されます。 しかし、イメージのデータ自体は保管されません。データはストレージ・デバイスでホストされます。 コントロール・プレーン・サービスとコントロール・プレーン・データ・ストアの間の通信は、常に保護され、暗号化されます。 |
Block Storage | 各リージョンの各ゾーンに、複製された一連のストレージ・デバイスがあり、それらのストレージ・デバイスでお客様の VPC ボリュームのデータがホストされます。 お客様のデータは常に暗号化されて保存され、お客様のアカウントごとに分離されます。 さらに、お客様管理の暗号化およびお客様所有のルート鍵を使用して、ブート・ボリュームとデータ・ボリュームのエンドツーエンドの暗号化を行うこともできます。 リージョン・バケットでは、保存データの暗号化に Key Protect を使用します。 ストレージ・データの転送はストレージ・デバイスとハイパーバイザー・ノードの間でのみ行われ、制御ノードに転送されることはありません。 |
スナップショット | ボリュームの作成したスナップショットは、 IBM Cloud® Object Storage に保存され、地域ごとにリストアできます。 スナップショットは、保存データの暗号化に Key Protect を使用して保護されます。 スナップショットデータは、 Object Storage とハイパーバイザーノード間でのみ流れ、制御ノードには流れません。 |
VPC の依存関係
IBM Cloud® Virtual Private Cloud (VPC) は、以下のような目的でさまざまな IBM Cloud 統合サービスに依存しています。
- VPC サービスの内部マイクロサービスのホスティング
- IBM Cloud およびそのユーザー・インターフェースとの統合
- サービス・データ (VPC リソース・メタデータを含む) の保管とバックアップ
- サービス・イベントのロギングと監査
以下の表に、VPC サービスの主な依存関係と、それぞれの目的を示します。
サービス | 目的 |
---|---|
IBM Cloud® Identity and Access Management | すべての VPC 要求について認証および許可を行います。 詳しくは、 VPC インフラストラクチャー・サービスの IAM アクセス権限の管理 を参照してください。 |
IBM Cloud カタログ | VPC リソース・プロファイルのグローバルに整合性のある構造化メタデータを提供します。 |
IBM Cloud CLI (ibmcloud) | コマンド・ライン・インターフェースから VPC API にアクセスできるようにします。 このプラグインはVPCインフラストラクチャで利用可能です。 |
プライベート・カタログ | グローバル・カタログの製品と独自のカタログの製品へのアクセスを一元的に管理できるようにします。 |
リソース・コントローラーとリソース・マネージャー | VPC のリソース・プロファイル、リソース・クォータ、リソース・グループの情報として、グローバルに統一された、構造化されたメタデータを VPC サービスに提供します。 |
IBM Cloud 計量 (使用量) | お客様のアカウントに対する請求書を生成するために、VPC サービスの使用量メトリックを収集します。 |
IBM アカウント管理 | お客様のアカウントに関する情報 (使用権やアカウント内のユーザーの関係など) を提供します。 |
IBM Cloud® Container Registry | VPC マイクロサービスの内部コンポーネントで使用されるコンテナー・イメージをホストおよび検証します。 |
IBM Cloud Kubernetes Service | VPC サービスのリージョナル・マイクロサービスを実行するコンテナーのクラスターをホストします。 |
Red Hat Licensing Service | IBM 提供の RHEL イメージを使用してプロビジョンされたコンピュート・インスタンスをアクティブ化します。 |
Windows Licensing Service | IBM 提供の Windows イメージを使用してプロビジョンされたコンピュート・インスタンスをアクティブ化します。 |
Ubuntu パッケージ更新サービス | IBM 提供の CentOS イメージを使用してプロビジョンされたコンピュート・インスタンスに OS パッケージを提供します。 |
CentOS パッケージ更新サービス | IBM 提供の CentOS イメージを使用してプロビジョンされたコンピュート・インスタンスに OS パッケージを提供します。 |
Debian パッケージ更新サービス | IBM 提供の Debian イメージを使用してプロビジョンされたコンピュート・インスタンスに OS パッケージを提供します。 |
IBM Cloud Object Storage | お客様提供の VPC イメージ、最近のログ・データ、すべての VPC リソース・メタデータのバックアップのための一時ストレージを提供します。 また、収集されたフロー・ログも保管します。 |
Infrastructure Management Service (IMS) | VPCによってプロビジョニングされたストレージボリュームのプロビジョニング、管理、情報表示、およびインフララックの管理を行います。 |
IBM Key Protect | 暗号化ストレージのデータ暗号鍵をラップする顧客ルート鍵をホストします。 |
Hyper Protect Crypto Services (HPCS) | これも暗号化ストレージのデータ暗号化鍵をラップする顧客ルート鍵をホストします。 |
Global Search and Tagging - Search (GhoST) | アカウントの IBM Cloud リソースのグローバル・ビューを提供します。VPC はこのビューを使用して、どの IBM KMS でカスタマー・ルート鍵がホストされているかなどの情報を取得します。 |
IBM Cloud Internet Services | VPC のすべての API 要求の最初の受信層として機能し、DNS、グローバル・ロード・バランシング、ファイアウォール、DDoS、およびその他のセキュリティー機能を提供します。 |
Hypersync および Hyperwarp | VPC リソースとライフサイクル・イベントを GhoST およびその他のサブスクライバーにパブリッシュできるようにします。 |
IBM Event Streams | VPC リソースとライフサイクル・イベントを GhoST およびその他のサブスクライバーにパブリッシュできるようにします。 |
IBM Cloud Logs | VPC サービスが生成するログを収集します。 ログのタイプに応じて、IBM サポートおよびオペレーション、お客様、あるいは両方が使用できます |
IBM Cloud Activity Tracker Event Routing | サービス監査イベントは、同じリージョンに Cloud アカウントの所有者がセットアップした IBM Cloud Activity Tracker Event Routing インスタンスに転送されます。 詳細については、IBM Cloud VPCのアクティビティ・トラッキング・イベント を参照してください。 |
Technical Integration Point (Tivoli Integrated Portal) | IBM のサポートおよびオペレーション・チームに VPC サービスの障害とインシデントを通知します。 |
Operational Support Systems Event Data Broker (OSS EDB) | VPC サービスの内部コンポーネントの正常性をモニターします。 |
Ops Dashboard | IBM のオペレーション・チームが VPC リソースのインベントリーと使用量を追跡できるようにします。 |
IBM Cloud Databases for Elasticsearch | VPC サービスの内部コンポーネントのデバッグ、トラブルシューティング、およびパフォーマンス・モニタリングに使用されるトレース・データを格納します。 |
IBM Cloud Monitoring | メトリックを IBM Cloud® Monitoring に送信します。 これらのメトリックを使用して、VPC サービスのパフォーマンスをデバッグ、トラブルシューティング、モニタリングできます。 IBM Cloud Monitoring を使用して、仮想プライベート・クラウドの正常性とパフォーマンスをモニタリングすることもできます。 詳細については、IBM Cloud VPCモニタリング・ダッシュボード を参照してください。 |
IBM Cloud Secrets Manager | VPC コンポーネントの安全なデプロイ、および VPC コンポーネント間の通信の保護に使用される証明書を保管して管理します。 |
Digicert | cloud.ibm.com SSL 証明書の発行者。 |
DNS Services | IBM Cloud サービス FQDN を、お客様の VPC 内のこれらのサービスに対するアクセスを提供する IP アドレスにマップします。 |
Pulsar | VPC 内のボリューム、インスタンス、イメージに影響する暗号化キーの変更を IBM Key Protect または Hyper Protect Crypto Services で通知します。 |
New Relic | IBM の内部インフラストラクチャー・チームが使用する一連のメトリック・イベントを保管します。 |
LaunchDarkly | VPC インフラストラクチャー・サービスでの新機能のロールアウトを管理します。 LaunchDarkly は、選択されたユーザーベースに対する機能の可視性と可用性を制御するために使用される機能フラグを提供します。 |
VPC サービスの依存関係を示し、分類する図を以下に示します。
{: caption="VPC" caption-side="bottom"}関係図VPC依存関係図
分類の目的から、障害が VPC サービスの一部またはすべての可用性に影響する可能性がある場合、依存関係は「ハード」であると見なされます。 例えば Red Hat Licensing Service の障害が発生すると、そのリージョンで IBM Cloud 提供の Red Hat Enterprise Linux イメージを使用してプロビジョンされたコンピュート・インスタンスをアクティブ化できなくなります。
ご使用のリージョン内の VPC サービスに提供するデータは、同一リージョン内のロギングおよびデータ・サービスとのみ交換されます。 データ・バックアップは同一リージョン内の IBM Cloud Object Storage に保管されます。
承認済みのスキャン・ベンダー (ASV) の操作
LBaaS および VPN のデータ・プレーン・アプライアンスの ASV スキャンは、もっぱらお客様の責任において、四半期ごとに実行してください。 (PCI 要件)。 スキャンにより、お客様のワークロード機能およびパフォーマンスが低下する可能性があるため、IBM では、ASV を使用したデータ・プレーン・アプライアンスのスキャンは行いません。